目录 


如 何 使 用 开源 组 件 解 决 wWeb 应 用 系统 中 的 XSS 漏 洞 
Struts2 中 webconsole.html 漏 洞 利用 完全 剖析 


收集 了 github 上 的 一 些 Nmap 脚 本 
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我 的 安全 手册 ， 不 定期 更 新 ， 主 要 记录 日 第 安全 问题 笔记 和 资源 分 至 ， 做 个 人 博客 用 


如 何 使 用 开源 组 件 解决 Web 应 用 中 的 XSS 漏 洞 
本 文 包 含 以 下 内 容 : 


。 XSS 概 述 
e。 XSS 的 防御 原则 
e 开源 组 件 的 使 用 


XSS ( 跨 站 脚本 攻击 ) 漏洞 是 Web 应 i ， 它 指 的 是 恶意 攻击 者 往 
Web 页 面 里 插入 恶意 html 代 码 ， 当 用 户 浏览 该 页 之 时 ， 肯 入 其 中 Web 里 面 的 html 代 码 会 被 执 
行 ， 从 而 达到 加 意 攻 击 用 户 的 特殊 目的 ， 比 如 获取 用 户 的 cookie， 导 航 到 恶意 网 站 ， 携 带 木 马 
等 。 根 据 其 触发 方式 的 不 同 ， 可 以 分 为 反射 型 XSS 、 让 入 型 XSS 和 DOM-base 弄 XSS 。 漏 

洞 “ 注 入 理论 ”认为 ， 所 有 的 可 输入 参数 ， 都 是 不 可 信任 的 。 通 第 我 们 说 的 不 可 信任 的 数据 是 指 
来 源 于 HTTP 客 户 端 请 求 的 URL 参 数 、form 表 单 、Headers 以 及 Cookies 等 ， 但 是 ， 与 HTTP 客 
户 端 请 求 相 对 应 的 ， 来 源 于 数据 库 、WebServices、 其 他 的 应 用 接口 数据 也 同样 是 不 可 信 的 ， 
这 即 是 反射 型 XSS 与 存储 型 XSS 的 本 质 区 别 。 


一 般 来 说 ， 我 们 可 以 通过 XSS 漏 洞 的 表现 形式 来 区 分 漏洞 是 反射 型 、 存 储 型 、DOM-base 三 种 
中 的 哪 一 种 类 型 。 


1. 有 反射 型 XSS 是 指 通 过 给 别人 发 送 带 有 恶意 脚本 代码 参数 的 URL， 当 URL 地 址 被 打开 时 ， 
带 有 恶意 代码 参数 被 HTML 解 析 、 执 行 。 它 的 特点 是 非 持 久 人 化， 必须 用 户 点 击 带 有 特定 参 
数 的 链接 才能 引起 。 它 的 连接 形式 通 第 如 下 : 


http://localhost/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%281%29%3B%3C%2Fscri 
pt%3E 
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其 name 参 数 的 值 为 <script>alert(1);</script> ， 这 样 的 参 关 轧 后 未 做 任 


何 处理 ， 从 而 被 执行 。 其 代码 如 下 图 : 


色 Damn Vulnerable Web Application (DVWA) v1.9source :: Damn Vulnerable Web Applica 


时 localhost/vulnerabilities/view_source.php?id=xss_r&security=|ow 


X55 (Reflected) Source 


<?php 


,ls there any input? 

if( array_key_exists( "name", $_GET) && $$ _ GET[ name’ ] !(= NULL ) 1{ 
I Feedback for end User 
echo '<pre>Hello ' .$_GET[ name' ] .'</pre>" 


} 


?> 





2 存储 型 XSS 是 指 志 意 脚本 代码 被 存储 进 数据 库 ， 当 其 他 用 户 正 常 测 I! 览 网 页 时 ， 站 点 从 数 
据 库 中 读 取 了 非法 用 户 存储 的 非法 数据 ， ye 通常 代码 结构 如 下 
图 : 


Vulnerability: Stored Cross Site Scripting (XSS) 


test_marme 
<script>alert(tl):< /script> 


Message * 
ey Luestbook 


localhost/vulnerabilities/view source.php?id=xss s&security=[low 
TT EU MPU 
$message = trim( $ POST[ "mtxMessage' ] ); 
$name = trim($ POST[ txtName’ ] }: 


/i Sanitize message iInput 
$message = stripslashes( $message ); 
$message = mysgl_real_escape_stringl $message ): 


If Sanitize name Input 
$name = mysgl_real_escape_string( $name ): 


六 Update database 
$query = "INSERT INTO guestbook (comment, name ) VALUES ( ‘$message’, $name’ ).": 
$result = mysqgl_query( $query ) or diel "<pre>" . mysgql_error .'</pre>' ). 


/imysgl_closel): 





其 发 生 XSS 的 根本 原因 是 服务 器 端 对 写 入 数据 库 中 的 内 容 示 做 javascript 脚 本 过 过 滤 
3，DOM-base 型 XSS 是 指 在 前 端 页 面 进 # ee 时 ， 带 有 恶意 代码 的 片段 被 HTML 解 
析 、 执 行 ， 从 而 导致 XSS 漏 洞 。 


无 论 是 哪 种 类 型 的 XSS 漏 洞 ， 其 解析 完成 后 ， 漏 洞 利用 的 代码 基本 雷同 的 。 在 日 常 工作 中 ， 
常见 的 XSS 漏 洞 Exploit 攻 击 点 有 : 


10. 


11. 


恶意 jS 的 引用 
<SCRIPT SRC=httb: evilass。 js2>xr3SCRIFT> 
Img 标 签 (以 img 为 例 ， 下 同 ) 


《ING SRC=jawrascript:alert!t’ R35" )» 


《IIS SRO=JaVaScRiPt:alertt’ KSS )> 


破坏 原始 标签 结构 


《TING ”><SORIPT>alLertf RSS zx 1SCRIPT> > 


基于 标签 事件 触发 
《TING SEC=# onmouseowver= alert(l xxs |) » 


fromCharCode 编 码 统 过 


“IW3 SRO=/ onerror= alertlStrine. fromiharCode (SS, 383,83)) ></ime> 


javascript 转 码 


% 工 也 3 有 R= 旋 磋 六 和 DD 二 意 磋 训 DOD 总 磋 训 DD 二 总 总 磋 训 DODODDT 训 于 ODOI 1 5 境 DOO I 1 人 OI OI 1 人 OOD TE 
悦 问 各 二 训 汪 旋 理 癌 DOAOID 旋 理 站 OOO 二 4 总 玫 训 ODO I 总 井 OOO EN ONS ONO DENNNO1 2 


HTML 转 码 


“工人 SR 二话 惠 和 ;点 末日 站; 旋 井 二 二 ; 刘 天 日 了 ;应 林寺 二 5 ; 旋 基 中 马 ; 意 划 二 二 二 ;应 基 荆 5 ;应 林寺 二 2 ; 许 天 十 革 日 ;总 # 昌 避 ; 旋 基 日 了 ; 疙 基 二 品名 ;点 玉 十 站 十; 问 检 十 1 半 ;应 林寺 二 后 ; 意 井 4 说 
应 苦口 日 ; 应 弄 吕 富 ;总理 避 全 ; 话 划 台 呈 ; 许 天 3 日 ; 意 术 1 ;2 


NEJ 
混合 型 


<IMG SRCO=" jawvit#txOD.:ascript:alertl 时 SS ): > 


CSS 文 本 

《STYLE>11 {list-stwvle-imaee: urlt javascript:alertt Ros ) 1513TYLE>: 
CSS 属 性 值 

“BODY BACEGROUND=" jawvascript:alertt R35 ) > 


基于 XSS 上 面 所 述 的 特性 ， 在 XSS 的 频 发 代码 中 ， 我 们 通常 遵循 以 下 处 理 规则 : 


字符 转 义 +| ESAPI4]S， HeadLines 


Sanidzer, HTMI Purifiere 





从 上 表 中 我 们 可 以 看 出 ，ESAPI、HeadLines、AntiSamy、HTML Sanitizer 是 开源 组 件 
中 防御 功能 比较 全 面 的 4 个 ， 其 中 ESAPI、HeadLines 除 了 对 XSS 有 具有 很 好 的 防御 能 

外 ， 还 对 OWASP TOP 10 中 其 他 的 安全 漏洞 都 具有 规范 处 理 的 能 力 。 在 单纯 性 地 讨论 其 
对 XSS 的 防御 能 力 时 ， 我 们 需要 看 具体 的 应 用 场景 或 者 需求 点 。 如 果 仅 仅 是 对 客户 端 提 
交 的 简单 的 请 求 参 数 (通常 指 form 表 单 域 ， 不 包含 复杂 文本 和 可 编辑 文本 ) 做 安全 过 

渡 ， 则 HTML Sanitizer、Java Encoder 都 可 以 作为 首选 解决 方案 ; 如果 不但 对 客户 端 提 
交 的 简单 的 请 求 参数 做 安全 处 理 ， 而 且 ， 应 用 中 会 涉及 复杂 文本 ， 类 似 于 BBCode 文 本 之 
类 的 数据 处 理 ， 通 常会 首选 AntiSamy 作 为 解决 方案 ; 如 果 除 了 以 上 两 点 外 ， 还 需要 做 同 
源 策 略 安 全 、Http Header 安 全 、Cookies 安 全 ， 则 通常 会 首选 HeadLines 作 为 解决 方案 ; 
如 果 还 有 更 多 层次 的 用 户 安全 、Session 会 话 安全 、 口 令 或 随机 数 安 全 等 ， 则 ESAPI 和 
Apache Shiro 将 会 被 考虑 。 那 么 ， 具 体 到 茶 个 软件 项 目 中 ， 是 如 何 使 用 开源 组 件 对 XSS 
汤 洞 进行 防护 的 呢 ? 下 面 就 以 Java 语 言 为 例 ， 对 处 理 过 程 做 简要 的 阐述 。 

第 一 步 : 确定 使 用 的 开源 组 件 

首选 是 确定 使 用 的 开源 组 件 ， 只 有 开源 组 件 确定 下 来 ， 才 能 确定 解决 方 染 的 细节 部 分 。 
在 选择 开源 组 件 之 阐 ， 要 理解 业务 涉及 的 需求 点 ， 以 免 遗 汤 。 一 般 来 说 ， 简 单 文本 参数 
使 用 HTML Sanitizer， 复 杂文 本 参数 使 用 AntiSamy。 

第 二 步 : 定义 安全 过 滤器 

针对 于 XSS 的 处 理 ， 第 用 的 解决 办 法 是 使 用 过 滤器 (Filter) ， 由 Filter 中 的 doFilter 方 法 对 
参数 的 内 容 进 行 安 全 过 滤 操 作 。 其 代码 核心 结构 如 图 所 示 : 


package com.al.sec; 
simport java.io.IOException;|, 
public class SecurityFilter implements Filter { 


3 public void doFilter(ServletRequest request, ServletResponse response, 
FilterChain chain) throws IOException, ServletException { 
/ /过 波 X55 
clearXSsSs((HttpServletRequest)request); 
/ /设置 XSS 保 护 
setXSsSprotect((HttpServletResponse)response); 
/7 filter 链 诽 续 处 理 
chain.doFilter{(request,response); 


= private void pe 和 


和 


/7 如 果 基 个 参数 值 存在 XSS， 网 对 访 值 齐 行 处 理 (过 十 滤 、 编 码 ， 中 拦截 等 ; ， 
/处 理 完毕 后 骨 章 新 赋 慎 。 


by 


第 三 步 : 处 理 XSS 

编写 处 理 XSS 郊 数 clearXSS 时 ， 我 们 会 根据 所 选择 的 开源 组 件 不 同 而 编写 方式 有 了 所 不 
同 。 当 我 们 把 开源 组 件 的 jar 和 依赖 库 添 加 到 项 目 中 之 后 ， 主 要 的 工作 是 对 此 函数 功能 的 
实现 ， 实 现 的 基本 思路 是 : EIS 求 的 参数 和 http 消 息 头 ， 人 遍历 每 一 个 
参数 ， 如 果 某 个 参数 值 存在 XSS， 则 对 该 值 进行 处 理 (过 滤 、 编 码 、 转 义 、 拦 截 等 ) ， 
处 理 完 毕 后 再 重新 赋值 。 如 果 使 用 HTML Sanitizer， 你 的 核心 代码 可 能 是 


NV 


PolicyFactory policy = Sanitizers.FORMATTING.and(Sanitizers.LINKS); 
string safeHTML = policy.sanitize(untrustedHTML); 


或 者 使 用 了 Java Encoder， 代 码 类 似 : 


string clearData = Encode.forHtml (untrustedData) 


如 果 使 用 了 AntiSamy， 代 码 或 许 类 似 于 


Policy policy = Policy.getIinstance (POLICY FILE LOCATION); 


AntiSamy as = new BntisSamy(}; 
CleanResults cr = as.scan(ldirtyInput, policy); 


MvyUserDAd.storeUserProftilelcr.gqetcleanHTMLI})); // some custom function 


在 HTML Sanitizer 和 AntiSamy 中 ， 我 们 都 看 到 一 个 词 : Policy，Policy 即 XSS 防 护 策 略 ， 
是 指 在 XSS 的 文本 进行 处 理 时 ， 按 照 怎 么 的 规则 去 处 理 数据 块 : 哪些 html 标 签 或 属性 是 允 
许 存在 的 ， 哪 些 的 需要 转 义 的 ， 哪 些 是 需要 进行 格式 校 验 的 ， 哪 些 是 需要 移 除 的 等 ， 这 
些 都 是 在 策略 文件 里 去 定义 的 。 HTML Sanitizer 组 件 中 ， 包 含 5 个 预定 义 的 菏 略 ， 有 具体 在 
使 用 中 ， 我 们 可 以 根据 自己 的 需求 选择 某 个 策略 。 这 5 个 策略 的 内 容 分 别 是 : 





AntiSamy 组 件 中 对 策略 的 定义 相对 复杂 些 ， 是 由 配置 文件 中 多 个 选项 指定 的 。 其 配置 如 
图 所 示 : 


过 了 TI version="1.0" encoding="ISO-8859-1" ?» 

J <anti—-samy-rules xmlns:xsi="http:/ /www.w3.o0rg/200] /XMLSchema-instance" 
xsi:noNamespaceSsSchemaLocation="antisamy .Xad"> 

Alirectiwes> 


<directive name="omitXmlDeclaraticon™. value="true"/> 
<directive name="maxInputSize™" walue="20000"™/»> 
/dlrectlives» 
COMONn—Iegexps> 
<rIegqenxp name="colorName" value="{(aqua|lblack|lblue|fuchsialgrav|grevyv|green|lime|marcoon|navy|oli. 
<regexp name="onsiteURLD™" value="urlI\V (I\pP{ILI PINI VAN"\2=\#Eampr;\— ~]+|\# 0\w) 十 ) "/> 
/Common-regexps» 
Common-attributes» 
<attribute name="background"> 
<IeEgexp—-l11st» 
<regexp name="onsiteURL"/> 
</reogqexp-l11ist» 
</attribute» 
<attribute name="Pbgcolor"> 
<regqexp-list» 
<rIegqexp name="colorMName" /> 
</regqexp-list> 
</attribute» 
</common—attributes»> 
<global—-tag—-attributes» 
<attribute name="title" /> 
</global-tag—-attributes» 
“tags-to-encode> 
<tag>gq< /tag> 
/tags-to-encode> 
所 七 豆 可 一 工 Q] 忆 号 六 


<tag name="script™" acticon="remove" /> 
<tag name="label™" acticon="validate"» 
<attribute name="for"™> 
<IEgexD-l11st» 
<regexp name="htmlId"/> 
</regqexp-l11ist» 
</attribute» 
/tag> 
/tag-rules> 





AntiSamy 的 策略 配置 是 由 规则 (tag-rule、css-rule) 来 控制 Antisamy 对 html 标 签 

(tag) 、 属 性 (attribute) 中 不 可 信和 数据 做 怎样 的 操作 行为 (action) ， 其 中 操作 行为 可 
分 为 校 验 (validate) 、 过 滤 (filter) 、 清 空 (truncate) 、 移 除 (remove) 。 根 据 定义 
的 操作 行为 ， 可 以 对 不 可 信 数 据 进 行 移 除 、 清 空 、 过 滤 和 校 验 操作 。 当 对 不 可 信和 数据 进 
行 校 验 时 ， 比 如 input 标 签 ， 我 们 可 以 校 验 align 属 性 值 指定 枚 举 值 泡 围 为 
left,right,top,middle,bottom， 也 可 以 校 验 value 值 是 否 匹 配 既 定义 的 正则 表达 式 ， 如 图 中 
common-regexps 和 common-attributes 节 点 所 示 。Antisamy 依 据 策略 文件 的 具体 配置 ， 
对 传 入 的 不 可 信 数 据 ， 按 照 定 义 的 规则 对 数据 进行 处 理 ， 最 终 返回 可 信 的 文本 ， 即 代码 
段 中 的 cr.getClearHTML 了 有 函数 的 返回 值 。 当 原来 的 不 可 信 数 据 ， 经 过 处 理 变 成 可 信 数 据 ， 
我 们 防护 XSS 的 目的 也 就 达到 了 。 与 HTML Sanitizer 类 似 的 是 ，AntiSamy 除 了 默认 的 
antisamy.xml 外 ， 也 提供 5 个 策略 模板 文件 : antisamy-anythinggoes.xml、antisamy- 


ebay.xml、antisamy-myspace.xml、antisamy-slashdot.xml、antisamy-tinymce.xml。 其 
中 ebay 的 模板 文件 使 用 广泛 ， 在 实际 项 目 中 ， 可 以 直接 使 用 此 策略 模板 或 者 在 其 基础 上 
修改 即 可 。 

第 四 步 : 添加 http 响 应 头 XSS 防 护 

完成 clearXSS 函 数 之 后 名 ， 我 们 需要 对 http 响 应 头 添加 XSS 防 护 策 略 。 通 过 clearXSS 欧 
数 调 用 是 在 服务 器 层 对 XSS 做 防护 ， 而 添加 http 响 应 头 XSS 防 护 策略 是 从 客户 端 浏 览 器 层 
面 防护 XSS 。 常 用 的 参数 有 : 


de=blocke 
Frame-OQptions: denye 


XContent-Type-OQptions: i 


Content-Security-Policy: default-sre ‘self # 


set-Cookie: key=value; HttpOnilye 


F pb FF 一 了 
Me 疡 Javascr Ipt pe I 





其 核心 代码 大 体 如 下 
private void setXsSsprotect(HttpServletResponse response})t 
response.setHeader("X-XS5-Protection”, "1; mode=block"); 
response.setHeader("X-Frame-Options", "deny"); 
response.setHeader("X-Content-Type-OQptions", "nosniff"); 
response.setHeader("Content-Security-Policy”", "default-src 'self'"); 
response.setHeader("Set-Cookie™", "HttpOnly"); 


第 五 步 : 启用 安全 过 滤器 

ee ， 我 们 需要 尼 用 它 。 尼 用 的 过 程 即 配 
置 的 过 程 ， 目 的 是 使 安全 过 滤器 生效 ， 这 需要 在 web.xml 中 配置 ， 并 对 所 有 请 求 进 行 拦 
截 ， 其 基本 配置 如 下 


<f1ilter> 
ft1ilter-name>securityFilter</filter-name> 
ft1ilter-class>com.al.sec.SecurityFilter</t1ilter-class> 
/filter> 


Qo 


= <ft1ilter-mapping> 

ft1ilter-name>securityFilter</filter-name> 

<Uurl-pattern>/*</url-pattern> 

</filter-mapping> 

通过 以 上 步骤 的 处 理 ，Wweb 应 用 中 国 前 端 输入 导致 的 XSS 数 据 基本 得 以 解决 ， 但 在 实际 
的 项 目 中 ， 发 生 XSS 的 点 可 能 各 不 相同 ， 不 是 仅仅 用 一 个 安全 过 滤器 进行 全 局 拦截 处 理 
即 可 托付 全 蔓 那 么 简单 。 例 如 通过 文 件 导 入 引发 的 XSS 漏 洞 ， 则 需要 单独 编码 ， 调 用 开 
源 组 件 对 XSS 进 行 防 护 。 总 之 ， 无 论 是 XSS 漏 洞 还 是 其 他 的 漏洞 ， 安 全 防护 是 一 个 动态 
的 概念 ， 在 进行 XSS 防 护 过 程 中 ， 我 们 需要 根据 实际 情况 ， 不 断 地 调整 处 理 策略 


(Policy) ， 以 达到 既 能 满足 安全 需要 ， 正 确 处 理 非法 的 、 不 安全 的 数据 ， 又 能 满足 业务 
需要 ， 不 会 错误 拦截 或 处 理 了 正常 业务 数据 的 最 终 目标 。 


Struts2 中 webconsole.html 汤 洞 利 用 完全 剖析 


近来 ， 随 着 Struts2 漏 洞 接二连三 地 被 披露 ， 企 业 对 Struts2 的 心理 安全 指数 也 在 降低 ， 很 多 企 
业 或 者 安全 从 业 人 员 ， 在 日 第 的 安全 检测 或 者 扫描 过 程 中 有 点 草木 宦 兵 ， 如 果 发 现 了 
webconsole.html 页 面 ， 则 判断 系统 存在 Struts2 漏 洞 ， 要 求 各 个 厂商 做 对 应 的 安全 整改 。 那 么 
出 现 wWebconsole.html 页 面 到 底 十 不 是 Struts2 的 安全 漏洞 呢 ? 


首先 ， 我 们 来 看 看 Struts2 框 架 中 为 什么 会 存在 webconsole.html。 在 Struts 的 官网 的 Debuggin 
页 面 中 ， 有 如 下 一 段 话 : 


The Debugging Interceptor provides three debugging modes to provide insight Into the data 
behind the page. The xml mode formats relevant framework objects as an XML document. 
The console mode provides a OGNL command line that accepts entry of runtime 
expressions, and the browser mode adds an interactive page that display objects from 
the Value Stack. 我 们 注意 引文 被 我 加 粗 标注 出 来 的 甸子 ， 从 这 里 我 们 可 以 看 出 来 ， 此 交互 页 
面 〈《 即 struts/webconsole.html) 是 Struts 官 方 为 了 方便 开发 人 员 进 行 Debug 而 提供 的 功能 。 基 
于 此 ， 我 们 应 该 有 第 一 个 基本 的 认识 : 这 是 调试 功能 ， 只 有 在 调试 模式 下 才能 使 用 。 


接着 ， 我 们 看 到 此 文档 中 还 有 如 下 语句 的 描述 : 
To use the debugging, first be sure that struts. devilode [Is set to true Is enabled through the struts.properties file or struts. zal file, like: 


F----------------- 


这 段 话 中 ， 我 们 可 以 看 出 ，Struts2 的 Debug 功 能 ， 只 有 在 开启 了 此 功能 ， 即 配置 了 : 
<constant name="struts.devMode" value="true" /> 基于 此 ， 我 们 应 该 有 第 二 个 认识 : 
struts/webconsole.html 的 调试 功能 只 有 在 启用 了 调试 参数 的 情况 下 才 会 生效 ， 否 则 即使 看 
到 此 页 面 ， 也 不 具有 调试 的 功能 。 


那么 ， 是 不 是 说 ， 只 要 开 司 了 Debug 模 式 ,struts/webconsole.html 就 可 以 进行 交互 了 呢 ?和 谷 委 
当然 是 否定 的 。 当 我 们 访问 struts/webconsole.html， 使 用 浏览 器 ， 按 F12 进 行 查看 就 会 发 现 ， 
webconsole.html 页 面 中 加 载 了 几 个 js 脚本 。 如 下 图 所 示 : 


者 9 ™ "ss ee | 


(+)- 全 http://127,0,0,1;8080/struts/struts/webconsole,html 十 名字 1 是 oGNLConsole 











< 
文件 (站 ”前 找 (N) 禁用 (S$) 查 春 (V) 图 像 中 考 存 (C) 工具 (T) 验证 (A) | 浏览 器 模式 : I[E10 兼容 性 视图 (B) 文档 模式 (M): IE5 Quirks 








HTML ， CSS 控制 台 脚本 探 音 库 ”网 洛 陀 立 方 
尽 工 国 妇 回回 样式 。 跟踪 样 
-.. <html> 

.<head> 


<title20GNL Console</title> 
< . -i ~ 







<script src="webconsole. js /script> 
<script src=" dojo/ dojo. js > script> 
<style>CSS 样式 表 人 <style> 
<script sre= "dojorsrcrevent packaee .Js ?script> 
-<body omnload"™ onbeforeunload=""» 
:<div id="shell”> 
= <form id="we-form” onsubmit="return false”> 
<div class="wec-results” id="wc-result"»> 
-elcowe to the De console! 
<br > 
i 
<input name=" debue” type="hidden” value="command’/> 
点 


a 
ray 可 









~ = 
<input name="expression” class="we-command” id="wec-command” onkeyup=" keyEvent (event)” type=" text"/> 
不 项 - 安 囊 医 营 襄 


从 图 中 我 们 可 以 看 出 ，Webconsole.html 页 面 与 后 端 交 互 时 ， 使 用 了 Dojo 的 js 框架 来 完成 请 求 
和 应 答 处 理 ， 也 就 是 说 ，Wwebconsole.html 页 面 可 以 与 后 端 进 行 正常 交互 的 前 提 是 ， 项 目 中 使 
用 了 Dojo 的 lib 库 。 而 在 Struts2 中 ， 有 一 个 jar， 专 门 供 此 功能 使 用 的 。 如 下 图 : 


a i Struts 2 DOJO Libraries 
a ln struts2-dojo-plugin-2,1.8,1,jar 
. 上 志 org.apache.struts2 
. 纪 template,ajax 
EE META-INF 
国 NOTICE.bdt 


x struts-plugin.xml 


基于 此 ， 我 们 应 该 有 更 深 一 层 的 认识 : 只 有 在 开启 了 Debug 模 式 且 ClassPath 中 使 用 了 
struts2-dojo-plugin-*.jar 的 情况 下 ，webconsole.html 页 面 才 有 可 能 存在 安全 漏洞 的 风险 。 


这 时 我 们 该 明白 ， 如 果 应 用 程序 中 使 用 了 Struts2， 启 用 了 Debug 模 式 ， 且 ClassPath 中 包含 了 
struts2-dojo-plugin-*.jar， 那 么 ， 当 我 们 访问 http://ip:port/lapp_name/struts/webconsole.html 
即 可 以 看 到 如 图 中 所 示 的 交互 界面 。 但 是 ， 看 到 了 界面 ， 就 丨 的 可 以 交互 了 人 么 ?了 我 们 接 下 来 
看 看 一 下 webconsole.html 中 提交 事件 是 如 何 触 发 的 ? 














文件 (Hi ”六 每 (E) ”前 者 (V) ”收藏 夫 (A) 工具 (TD) ”帮助 (H) 




















文件 (Pi 童 找 (N) 禁用 (S) 查看 (V) 图 像 (1 组 存 (C 工具 (TD) 验证 (A) | 浏览 器 模式 : IE10 兼容 性 视图 (B) 文档 模式 (M): IE5 Quirks 一 ， [my 
HTML ， CSS ”控制 台 ”脚本 。 探查 器 网络 -一 

CI A/ # $Io webeonsole. in S90812 3007-I0-37 30.33.542 apetrells $F ww Licensed to the Apache Software Founoation WSF) mmaer one 光 pr more contribut 口 we-command webconsole, 
<html> VIwidth: 100%. 

<head> 


Vcolor: white: 
Vfont-family: courler; 
Vmarein-top: Opx: 
Vmarein-rieht: Opx: 
Vimargin-bottom: Dpx: 
FIN a | Vimarein-left: Opx. 
<script src="dojo/src/event/ package .js">/script> Vbacker ound-color: black: 
= <body onunload="" onbeforeunload=""> 
a- <div id="shell”> 
= <form id="we-form” onsubmit="return false”> 
<div class="we-results” id=-"wc-result"> 
-jelcome to the De console! 
<br/> 
Br 一 
<input name=" debue” type="hidden” value="command"/> 
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<title20GNL Console</title»> 

dink href="webconsole. css” rel="stylesheet” type="text/css"/> 
<script src="webconsole. js >/script> 

<script src="dojo/ dojo. js > script> 

<styleXCSS 样式 表 人 <style> 


onkeyup=" kevyEvent (event)” type=" text"/> 





A 工人 


如 上 图 中 的 箭头 所 示 ， 当 我 们 在 页 面 输入 内 容 释 放 键 盘 操 作 时 ， 调 用 的 javascript 况 数 为 
keyEvent(event)， 我 们 再 来 跟踪 一 下 这 个 函数， 发 现 它 存在 于 webconsole.js 中 ， 其 关键 代码 


如 下 图 : 


44 : 

45 : function kevEvent [ewent, url]) 
46: 1 

47 : switchlevent. KevCode) { 

48 : case 13: 


49 : var the shell command = document. eetElementByIdt we-command .walue: 
50 :| if [the shell command) | 
-1 commands historv[commands historv. leneth] = the shell]l command: 
5 : historvw pointer = commands historw. leneth. 

-3 : var the url] = url ? ur : window. opener. ]ocation. pathname: 


54 | dojo. io, bind tt{ 

So url: the url， 

5B :| formHode: dojo. byIdl we-form"), 

BT: Jload: functionltype, data, Et 人 printResult tdatal: 1, 
58 :| mimetype: “text/plain” 

59 : 1 

BD | } 

Bl : break: 


当 触 发 此 函数 时 ， 需 要 两 个 和 参数， 一 个 是 event， 一 个 是 Ur|。event 表 示 键 盘 的 动作 事件 ， 这 
比较 好 理解 ， 那 么 url 是 什么 呢 ? 为 什么 此 处 并 没有 传递 调用 呢 ? 在 图 中 的 53 行 我 们 看 到 源码 
zo 下 : var the url = url ? url: window.opener.1location.pathname,; 这 名 代码 的 语义 是 :如 
果 存 在 url 参 数 则 使 用 Url 和 参数， 如果 不 存在 ， 则 使 用 当前 对 丛 的 父 对 象 的 ur| (相当 于 使 用 
referer 作 为 url 的 值 ) 。 很 显然 ， 此 处 Url 值 不 存在 ， 只 能 使 用 当前 对 象 的 父 对 人 象 的 Url。 因 此 ， 


要 想 能 交互 地 使 用 此 页 面 ， 必 须 有 一 个 页 面 作 为 父 页面 ， 打 开 webconsole.html 才 可 以 。 故 我 
们 需要 有 一 个 前 置 的 页 面 ， 然 后 我 们 在 页 面 上 可 以 通过 浏览 器 调试 功能 ， 添 加 如 下 代码 : <a 


href="struts/webconsole.html" target="_ blank">Click Me</a> 页 面 如 图 所 示 


也 Ptgl 天 127001 





文件 (中 编 加 (E) 章 春 (V) 收藏 夫 (A) 县 (1) 帮助 (H) 


2. 添加 导 码 





< href=" struts/webconsole. html” tareet= blank»Click 了 ES > 


当 我 们 点 击 【Click Mej】 的 起 链接 后 ， 弹 出 的 webconsole.html 才 是 可 交互 的 页 面 。 
| Ee ec 


-| 从 hitp://127.0.0.1:8 vebconsole.htm pro | @127001 | 鲁 o6NL Console | | 


文件 (日 ”编辑 (E) ” 音 豆 (V) 收藏 夫 (A) 工具 m i 




















Welcome to the OGNL console! 
:-> #session.msg 
<a ep html” target=” blank’ >Click Me</a> 





> 


文件 (F) 查找 (N) 禁用 (S) 查 春 (V) 图 像 (DD 考 存 (C) 工具 (TMT) 验证 (A) | 浏览 器 模式 : IE10 兼容 性 视图 (B) 文档 模式 (M): IE5 Quirks er] 
基于 此 ， 我 们 应 该 有 第 四 个 认识 : webconsole.html 是 否 能 交互 是 需要 有 指定 接受 消息 的 Url 
路 径 


那么 ， 是 不 是 所 有 的 Url 都 可 以 进行 交互 呢 ? 当然 答案 也 是 否定 的 。 我 们 都 知道 
webconsole.html 主 要 用 来 进行 Debug， 其 使 用 OGNL 表 达 式 ， 而 OGNL 表 达 式 需要 以 Struts2 
的 Action 为 入 口 ， 也 就 是 说 ， 通 第 情况 下 ， 这 个 url 的 路 径 类 似 

于 http://ip:port/app_name/xxx.action ,是 以 action 结 尾 的 ， 且 其 实现 类 必须 集成 于 
com.opensymphony.xwork2.ActionSupport (后 面 的 原理 与 S2-032 一 致 )， 只 有 基于 以 上 乞 
述 的 所 有 条 件 都 满足 的 情况 下 ，webconsole.html 才 是 站 正 可 交互 的 。 


说 到 这 里 ， 我 想 你 应 该 明白 什么 样 的 情况 下 你 所 看 到 的 webconsole.html 才 是 存在 安全 风险 
的 。 Eee 目的 ， 在 禁用 了 devMode 之 后 ， 人 仍然 不 希望 其 他 人 员 看 到 
webconsole.html 页 面 ， 则 可 以 直接 删除 webconsole.html 的 源 文件 ， 它 的 位 置 存 在 于 


a la struts2-core-2.1.8.1.jar - 
加 crg,apache.strutsz 
: 岂 components 
: 骨 contfig 
: 骨 dispatcher 
: 骨 impl 
a 赎 Interceptor 
a 由 debugging 
: hy DebuggingInterceptor.class 
: a ObjectToHTML Wnter.class 
: 加 PrettyPrint\WWirnter.class 
司 browser.ft| 
B console. 人 tl 
CY webconsole.css 
Hr webconsole.html 


sy webconsole,s 


我 们 手工 删除 struts2-core-*.jar\org\apache\struts2\interceptor\debugging\ 文 件 夹 下 的 
browser.ftl| 、console.ftl、webconsole.html、webconsole.js 即 可 。 删 除 元 毕 后 ， 当 我 们 再 
次 访问 ， 将 会 出 现 404 页 面 。 


本 文 刊 发 于 其 他 安全 类 网 站 地 址 : 
全 脉 拓 : http://www.secpulse.com/archives/48383.html 
全 参考 : https://www.sec-wiki.com/news/7798 


ro0ts 伦 坛 : http:/r0ots.cc/forum.php?mod=viewthread&tid=261 


收集 了 github 上 的 一 些 Nmap 脚 本 


收集 了 github 上 的 一 些 Nmap 脚 本 ， 喜 欢 的 收 贷 。 


https://github.com/s4n7hO/NSE 

https://github.com/digitalbond/Redpoint 
https://github.com/cldrn/Inmap-nse-scripts 
https://github.com/DaniLabs/scripts-nse 
https://github.com/lelybar/hydra.nse--------- 暴力 破解 
https://github.com/kost/Inmap-nse----cassandra 和 websphere 
https://github.com/drainware/nmap-scada---------- scada 
https://github.com/s4n7h0/Halcyon---------- NSE 开 发 工具 
https://github.com/b4lIdwnse-scripts---------- hadoop 、 flume 
https://github.com/peter-hackertarget/nmap-nse-scriptS---------- wordpress 
https://github.com/nosteve/vnc-auth---------- VNC 
https://github.com/aerissecure/nse--PhantomJS 检 查 httpHeader 
https://github.com/c-x/InmMmap-webshot--------- webservices 检 测 
https://github.com/takeshixx/ssl-heartbleed.nse-------- SSL 心 脏 酒 血 
https://github.com/sicarie/NSe--------------- openstack 
https://github.com/michenriksen/nmap-scriptSs---------- apache 、rails-xml 
https://github.com/ernw/nmap-scripts 
https://github.com/ulissescastro/ya-nse-screenshooter-------- 苹果 操作 系统 
https://github.com/Cunzhang/NseScripting 
https://github.com/axtl/nse-scripts---------- redis 
https://github.com/azOne/nmap-kippo-detect.nse 
https://github.com/vicendominguez/http-enum-vodafone-hua253s---- 华 为 设备 检测 


https://github.com/bikashdash/Axis Vuln Webcam----------- Axis 
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收集 了 github 上 的 一 些 Nmap 脚 本 
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